La protection des données ne s’arrête pas aux frontières métropolitaines. Depuis l’entrée en vigueur du RGPD et la réforme de la loi « Informatique et Libertés », l’application de ces textes aux territoires français d’Outre-mer a évolué. Certains territoires sont pleinement soumis au RGPD, d’autres relèvent de régimes spécifiques. Quels sont les textes applicables en Guadeloupe, à Saint-Pierre-et-Miquelon ou en Nouvelle-Calédonie ? Que faut-il retenir pour mettre vos traitements en conformité ? Cet article vous guide selon le statut juridique de chaque territoire ultramarin.
1) Une évolution législative marquée par l’ordonnance de 2018
Avant la réforme de 2018, la loi française sur la protection des données ne prévoyait pas de règles claires pour tous les territoires d’Outre-mer. Chaque territoire suivait un régime différent, souvent basé sur le droit international privé, sauf mention spécifique pour l’Outre-mer. Résultat : les règles variaient beaucoup d’un endroit à l’autre.
Pour y remédier, l’ordonnance du 12 décembre 2018 a réformé la loi « Informatique et Libertés » afin de l’aligner sur le RGPD. Depuis le 1er juin 2019, cette ordonnance permet une application plus homogène dans l’ensemble des territoires ultramarins, tout en tenant compte de leurs particularités.
Désormais, deux grands principes s’appliquent selon les territoires :
-
Le principe d’assimilation législative : la loi s’applique automatiquement, sans modification.
-
Le principe de spécialité législative : la loi ne s’applique que si elle est spécifiquement étendue au territoire.
Selon le cas, un territoire est soumis à l’un ou l’autre de ces principes, ce qui explique pourquoi les règles ne sont pas les mêmes partout.
2) Les Départements et Régions d’Outre-mer : une application pleine et directe du RGPD
Les Départements et Régions d’Outre-mer (DOM/ROM) regroupent cinq territoires : la Guadeloupe, la Martinique, la Guyane, La Réunion et Mayotte.
D’un point de vue juridique, ces territoires sont considérés comme faisant intégralement partie de la France. Cela signifie que les lois et règlements français s’y appliquent automatiquement, sans qu’il soit nécessaire de prendre des textes spécifiques pour les rendre valables localement.
Par ailleurs, ces territoires ont aussi le statut de régions ultrapériphériques (RUP) au sein de l’Union européenne. Ce statut, prévu par les traités européens, leur permet de bénéficier directement du droit de l’Union, y compris du Règlement général sur la protection des données (RGPD).
En clair, le RGPD s’applique dans ces territoires exactement comme en métropole. Il n’y a aucune différence de traitement.
Cela veut dire que les entreprises, associations ou collectivités locales doivent :
-
respecter les mêmes obligations que celles qui existent en France hexagonale ;
-
appliquer l’ensemble des règles du RGPD, sans modification ;
-
suivre les consignes de la CNIL, notamment en matière de sécurité des données, de registre des traitements ou de désignation d’un délégué à la protection des données (DPO).
En résumé, que l’on soit installé à Fort-de-France, Cayenne ou Saint-Denis, les règles à suivre sont les mêmes qu’à Paris ou à Lyon.
3) Les Collectivités d’Outre-mer : une application partiellement différenciée
Les Collectivités d’Outre-mer (COM) incluent notamment Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon. Ces territoires suivent le principe d’identité législative. Cela signifie que les lois françaises s’y appliquent, sauf si un texte prévoit une exception ou une adaptation spécifique. En matière de protection des données personnelles, les règles varient selon le statut juridique de chaque territoire. Saint-Martin est une région ultrapériphérique de l’Union européenne, comme la Guadeloupe ou La Réunion.
Le RGPD s’applique donc directement sur son territoire, sans besoin d’adaptation. En revanche, Saint-Barthélemy et Saint-Pierre-et-Miquelon sont des Pays et Territoires d’Outre-mer (PTOM). À ce titre, ils ne sont pas directement soumis au droit européen, y compris au RGPD. Cela ne signifie pas pour autant qu’ils échappent aux règles de protection des données.
La loi Informatique et Libertés, modifiée par la réforme de 2018, s’applique bien à ces collectivités. Elle renvoie aux règles en vigueur en métropole, qui s’inspirent des principes du RGPD.
Ainsi, une entreprise située à Saint-Pierre-et-Miquelon devra respecter des obligations très proches de celles prévues par le RGPD. Même si le règlement européen ne s’applique pas directement, le niveau de conformité attendu reste élevé. Les personnes concernées bénéficient donc d’un cadre juridique protecteur, conforme aux standards européens.
4) Nouvelle-Calédonie, Polynésie française, Wallis-et-Futuna, TAAF : vers une application progressive
Dans ces territoires, l’approche repose sur le principe de spécialité législative. Les lois françaises ne s’y appliquent que si elles le prévoient expressément.
Pendant longtemps, la loi Informatique et Libertés s’y appliquait dans sa version antérieure au RGPD. Cela signifie que, jusqu’au 1er juin 2019, ces collectivités restaient régies par des dispositions plus anciennes.
Depuis cette date, et grâce à l’ordonnance de 2018, les nouvelles dispositions de la loi du 6 janvier 1978, y compris celles issues du RGPD, ont été rendues applicables. Cela s’est fait sans modifier leur statut, mais en étendant expressément la loi modifiée à ces territoires.
Les collectivités concernées sont :
- La Nouvelle-Calédonie
- La Polynésie française
- Wallis-et-Futuna
- Les Terres australes et antarctiques françaises (TAAF)
Il est important de noter que, bien que les principes du RGPD soient aujourd’hui en vigueur dans ces territoires, des adaptations locales peuvent exister. Certaines obligations peuvent faire l’objet de mesures spécifiques ou de dérogations, notamment en raison de contraintes géographiques ou institutionnelles.
En cas de doute, il est essentiel de se référer aux textes locaux, ou de solliciter l’avis d’un professionnel pour assurer la conformité juridique des traitements de données.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
- Règlement (UE) 2016/679 – RGPD
- Loi n° 78-17 du 6 janvier 1978 – Informatique et Libertés
- Ordonnance n° 2018-1125 du 12 décembre 2018 – Transposition du RGPD
- Loi n° 2018-493 du 20 juin 2018 – Adaptation au droit européen
- Traité sur le fonctionnement de l’Union européenne – Statut RUP/PTOM
- Statuts des collectivités ultramarines
- Décision n° 2018-765 DC du 12 juin 2018 – Conseil Constitutionnel
- Arrêt CE n° 384302 – Cne Punaauia
- CNIL – Application de la loi en Outre-mer
